EU-vonnis schudt cookie-praktijken op: nieuwe uitdagingen voor online adverteerders
Recentelijk heeft het Europees Hof van Justitie uitspraak gedaan over een kwestie binnen de online advertentiewereld. De rechtszaak draaide om de vraag of IAB Europe, de koepelorganisatie achter het veel gebruikte Transparancy & Consent Framework (TCF), kan worden aangemerkt als een verwerkingsverantwoordelijke onder de Algemene Verordening Gegevensbescherming (AVG).
Wat is het Transparency & Consent Framework?
Het TCF is een systeem ontwikkeld door IAB Europe om websites en advertentiebedrijven te helpen voldoen aan de AVG bij het verkopen van advertentieruimte via geautomatiseerde online veilingen (het zgn. real-time bidding systeem). Telkens wanneer een gebruiker een website bezoekt, verschijnt er een cookiebanner waarin toestemming wordt gevraagd voor het plaatsen van advertentiecookies. De gebruikersvoorkeuren worden vastgelegd in een unieke TC-tekenreeks die wordt gedeeld met alle partijen in het advertentienetwerk.
Persoonsgegeven of niet?
De kernvraag is of deze TC-tekenreeks, al dan niet in combinatie met het IP-adres, kan worden aangemerkt als een persoonsgegeven onder de AVG. IAB Europe betwist dit, omdat de tekenreeks niet uniek is voor één gebruiker en IAB zelf geen toegang heeft tot de verwerkte persoonsgegevens van haar leden. De Belgische Gegevensbeschermingsautoriteit (GBA) oordeelde echter dat de TC-tekenreeks weldegelijk een persoonsgegeven is en dat IAB Europe als verwerkingsverantwoordelijke optreedt.
Verwerkingsverantwoordelijke?
Indien IAB Europe inderdaad als een verwerkingsverantwoordelijke wordt gekwalificeerd, brengt dit verstrekkende verplichtingen met zich onder de AVG, zoals het hebben van een rechtmatige grondslag, naleving van de transparantievereisten, uitvoeren van gegevensbeschermingseffectbeoordeling, etc. De GBA heeft namelijk vastgesteld dat IAB Europe hier niet aan voldeed en heeft een boete van € 250.000 opgelegd.
Gerechtvaardigd belang?
Deze zaak is ook in hoge mate relevant voor de discussie rond toestemming en het gerechtvaardigd belang als rechtsgrondslagen onder de AVG voor de verwerking van persoonsgegevens in de online reclamesector.
De GBA stelde dat de gebruikerstoestemmingen die via het TCF worden verkregen onvoldoende specifiek, geïnformeerd en granulair zijn om als rechtsgeldige toestemming te kunnen gelden onder de AVG.
Daarnaast oordeelde de Geschillenkamer dat het gerechtvaardigd belang van de Adtech-bedrijven die deelnemen aan het TCF, niet opweegt tegen de privacybelangen van gebruikers gezien de massale en ingrijpende verwerkingen van gebruikersgegevens die hier plaatsvinden. Dit riep de fundamentele vraag op of gerechtvaardigd belang überhaupt een geldige grondslag kan zijn voor gerichte reclame op deze schaal.
De uitspraak: TC-rekenreeks = persoonsgegeven
Het Hof van Justitie heeft bevestigd dat de TC-tekenreeks informatie bevat over een identificeerbare gebruiker, en daarom een persoonsgegeven is in de zin van de AVG. Wanneer de informatie in een TC-tekenreeks wordt gekoppeld aan een identificator, zoals het IP-adres van het toestel van de gebruiker, kan die informatie het namelijk mogelijk maken om een profiel van die gebruiker te maken en hem of haar te identificeren.
Dit geldt ook voor andere, vergelijkbare letter- en tekenreeksen die gebruikersvoorkeuren bevatten met betrekking tot hun toestemming voor de verwerking van hun persoonsgegevens door website- en app-aanbieders, makelaars in persoonsgegevens en reclameplatformen.
Het maakt hiervoor niet uit dat een sectororganisatie die over de tekenreeks beschikt, zoals de IAB, zonder externe medewerking geen toegang heeft tot de gegevens verwerkt door haar leden (binnen de door haar vastgestelde standaarden) en zij deze niet kan koppelen aan andere gegevens.
De uitspraak: IAB = gezamenlijke verwerkingsverantwoordelijke
Bovendien moet IAB Europe volgens het Hof worden beschouwd als een “joint controller” (oftewel: een gezamenlijke verwerkingsverantwoordelijke) in de zin van de AVG, wat betreft de opslag van gebruikersvoorkeuren in een TC-tekenreeks volgens de door haar opgestelde standaard.
Dit staat los van de latere verwerkingsactiviteiten van persoonsgegevens door bedrijven en derden op basis van deze voorkeuren, zoals het doorsturen van gegevens aan derden of het doen van gepersonaliseerde reclameaanbiedingen, waarvoor IAB in principe niet automatisch verantwoordelijk is.
IAB's verantwoordelijkheid als gezamenlijke verwerkingsverantwoordelijke is gebaseerd op haar invloed op de vaststelling van de doeleinden en middelen van de gegevensverwerking, ondanks dat ze niet direct toegang heeft tot de verwerkte persoonsgegevens binnen haar standaard. Deze gezamenlijke verantwoordelijkheid strekt zich niet automatisch uit tot latere verwerkingen door derden. Een sectororganisatie, zoals IAB, is slechts verantwoordelijk voor dergelijke latere verwerkingen indien vaststaat dat zij invloed uitoefent op de vaststelling van het doel van die verwerkingen en van de wijze waarop deze worden verricht.
Relevantie voor de praktijk: land-mark case
Nu is bevestigd dat de TC-tekenreeks een persoonsgegeven is, zal dit de dynamiek binnen de advertentie industrie ingrijpend wijzigen. Websites en advertentiebedrijven zullen hun toestemmingsvragen aan gebruikers waarschijnlijk moeten herzien om aan de AVG-vereisten te (blijven) voldoen.
De zaak illustreert dat het concept "persoonsgegeven" onder de AVG een erg ruime en dynamische invulling krijgt, waarbij zelfs ogenschijnlijk niet-identificeerbare onlinecodes hieronder kunnen vallen. Dit toont het toenemend belang aan van privacy en gegevensbescherming in de digitale economie.
Deze zaak heeft de afgelopen tijd al veel aandacht gekregen omdat ze nauw aansluit bij de Breyer-precedenten van het Europees Hof uit 2016 over de reikwijdte van het concept “persoonsgegeven” en wanneer niet-direct identificerende gegevens toch als persoonsgegevens kunnen worden aangemerkt. In die zaak oordeelde het Hof dat dynamische IP-adressen onder bepaalde voorwaarden als persoonsgegevens kunnen kwalificeren voor een websitebeheerder.
Relevantie voor de praktijk: gerechtvaardigd belang
Aangezien het Hof IAB Europe in beginsel heeft bestempeld als gezamenlijke verwerkingsverantwoordelijke, dient zij over een rechtsgeldige grondslag te beschikken voor het vastleggen en doorgeven van de toestemmings- en bezwaarvoorkeuren van gebruikers via de TC-tekenreeksen. Dit geldt ook voor andere, vergelijkbare sectororganisaties.
Heeft u vragen over wat dit voor u betekent in de praktijk? Neem dan contact op met Jody Esveldt.
